一、問題背景

用 Spring Boot 框架的小伙伴應該都知道，Spring Boot 有個主要的 applicaiton 配置文件，那就會涉及到敏感配置信息，比如各種中間件的連接用戶名密碼信息、以及各種第三方的 KEY、密鑰等。

這種敏感信息如果直接放在配置文件中肯定是不安全的，甚至在很多行業(yè)及領域(比如：支付領域)都是不合規(guī)的，所以需要保護 Spring Boot 中的敏感配置信息。

所以，你還在讓你的 Spring Boot 系統(tǒng)裸奔嗎?如果是，那不妨看看本文中棧長分享的 4 種方法，讓你的系統(tǒng)不再裸奔!

二、配置中心(支持自動解密)

我覺得還得看大家的架構情況，如果使用了外置的第三方配置中心(支持自動解密的那種)，就可以把所有的配置信息存儲在配置中心，比如 Spring Cloud 生態(tài)中的配置中心，那么可以使用自帶的加、解密機制保護敏感信息：

spring:   
  datasource:     
    username: '{cipher}t1s293294187a31f35dea15e8bafaf7774532xxcc20d6d6dd0dfa5ae753d6836'

需要加密的內容以 {cipher} 開頭標識，并注意要使用單引號包起來，具體的細節(jié)可以參考《Spring Cloud 配置中心內容加密》這篇文章，Spring Boot 配置文件就只存儲一些無關緊要的配置。

大家用的哪款配置中心呢?支付配置加解密嗎?歡迎分享!

如果沒有用到配置中心呢?

比如說傳統(tǒng)的 Spring Boot 的 MVC 項目，所有的代碼、配置都幾乎在同一個項目中，Spring Boot 中的核心配置文件就是 application.yml(.properties)文件，那要怎么保護敏感配置信息呢?繼續(xù)往下看!

三、數(shù)據(jù)庫機制

可以把所有配置信息存儲到數(shù)據(jù)庫，系統(tǒng)啟動的時候全部加載進內存。存儲的時候，敏感信息以對稱加密算法進行加密存儲，然后加載的時候自動解密到內存。

這是最傳統(tǒng)的配置管理方法，其實你也可以理解為一個原始的、簡易的配置中心，只是功能不那么強大而已，因為現(xiàn)在很多配置中心就是把配置放在數(shù)據(jù)庫中進行存儲，然后提供一系列的配置管理功能。

這里的數(shù)據(jù)庫可以是關系數(shù)據(jù)庫(MySQL、Oracle)、內存數(shù)據(jù)庫(Redis、Zookeeper)等，這是普遍用的比較多的中間件技術。

四、自定義加解密機制

這時候也要看使用的程度，如果只是簡單的數(shù)據(jù)庫連接池信息，那么可以考慮使用現(xiàn)有系統(tǒng)中的對稱加密算法，再結合連接池數(shù)據(jù)源類實現(xiàn)自定義加解密機制，比如我們可以模仿 Spring Cloud 加密機制：

先用系統(tǒng)已有的對稱加密算法對數(shù)據(jù)庫連接信息加密：

spring:   
  datasource:     
    username: '{cipher}t1s293294187a31f35dea15e8bafaf7774532xxcc20d6d6dd0dfa5ae753d6836'

排除 Spring Boot 系統(tǒng)自帶的數(shù)據(jù)源自動配置，然后自行組裝數(shù)據(jù)源 Spring Bean。

判斷獲取的配置值是否以 {cipher} 這個標識開頭，如果是，則用系統(tǒng)約定的對稱加密算法進行解密，然后再設置數(shù)據(jù)源，比如：

// 示例代碼
@Bean
public DataSource dataSource(){
 DataSource dataSource = new DruidDataSource();
 
 // 解密
 String username = this.getUsername();
 if (username.startWith('{cipher}')){
  username = Encrypt.decrypt(username, this.getKey()))
 } 
 dataSource.setUsername(username);
 
 ...
 
 return dataSource;
}

Spring Boot 基礎就不介紹了，推薦下這個實戰(zhàn)教程，教程和示例源碼都已經傳了：https://github.com/javastacks/spring-boot-best-practice。

這種使用簡單，不用額外引入任何第三方包，如果大家也是使用的自定義數(shù)據(jù)源，或者這種手動加解密機制可以滿足保護其他敏感配置的需求，那么這種方案供大家參考。

上面介紹的自定義的加解密機制可以滿足一般的需求，如果是 Spring Boot 自動配置的場景，比如數(shù)據(jù)源自動配置，Redis 自動配置，等等，這種在系統(tǒng)啟動的時候就會默認自動配置，我們人工解密干預不到。

像這種情況，我們就需要考慮介入框架層了，在 Spring Boot 框架讀取配置的時候進行攔截解密，或者使用第三方的框架，用的比較多是：Jasypt Spring Boot。

五、Jasypt Spring Boot

Jasypt Spring Boot 是一個專門為 Spring Boot 項目中的屬性提供加密支持的框架，支持的版本為 Spring Boot 1.x ~ 2.x，棧長寫文之時，現(xiàn)在已經有 1.8K+ 的 Star 數(shù)了，還是挺受歡迎的。

開源地址：

https://github.com/ulisesbocchio/jasypt-spring-boot

這個開源項目更新也挺及時的，最新更新的，已支持 Spring Boot 2.5.4!

這里棧長再免費分享你一份 Spring Boot 學習筆記，理論和實戰(zhàn)都非常齊全，助你快速搞定 Spring Boot。

1.Jasypt Spring Boot 實戰(zhàn)

Jasypt Spring Boot 有 3 種集成方法：

（1）如果開啟了 Spring Boot 的自動配置(使用了 @SpringBootApplication 或者 @EnableAutoConfiguration 注解)：只需要添加 jasypt-spring-boot-starter 依賴即可，這種會在整個 Spring Environment 中啟用可加密屬性；

（2）添加 jasypt-spring-boot 依賴，同時在 Spring 主要配置類上添加 @EnableEncryptableProperties 注解，這種會在整個 Spring Environment 中啟用可加密屬性；

（3）添加 jasypt-spring-boot 依賴，使用 @EncrytablePropertySource 注解聲明各個可加密的參數(shù)上，這種只適用于獨立配置參數(shù)加解密；

一般的 Spring Boot 都會開啟自動配置，然后再排除個別的自動配置，所以很少會有全部禁用自動配置的情況，不然使用 Spring Boot 的意義不大，這里我們使用第 1 種集成方式進行演示。

1.1 引入依賴

核心依賴：

<dependency>
    <groupId>com.github.ulisesbocchio</groupId>
    <artifactId>jasypt-spring-boot-starter</artifactId>
    <version>3.0.4</version>
</dependency>

Maven 插件(可選)：

<build>
    <plugins>
        <plugin>
            <groupId>com.github.ulisesbocchio</groupId>
            <artifactId>jasypt-maven-plugin</artifactId>
            <version>${jasypt-spring-boot.version}</version>
        </plugin>
    </plugins>
</build>

1.2 添加密鑰

jasypt:
  encryptor:
    password: G9w0BAQEFAASCBKYwggSiAgEAAoIBAQC
    property:
      prefix: "ENC@["
      suffix: "]"

這個 jasypt.encryptor.password 參數(shù)是必須的，相當于Salt(鹽)，以保證密碼安全性，prefix 和 prefix 是自定義的密碼串標識，不配置默認為：ENC(...)。

1.3 敏感信息加密

/**
 * 來源微信公眾號：Java技術棧
 * 作者：棧長
 */
@Slf4j
@RunWith(SpringRunner.class)
@SpringBootTest
public class JasyptTest {

    @Autowired
    private StringEncryptor stringEncryptor;

    /**
     * 來源微信公眾號：Java技術棧
     * 作者：棧長
     */
    @Test
    public void encrypt() {
        String usernameEnc = stringEncryptor.encrypt("javastack");
        String passwordEnc = stringEncryptor.encrypt("javastack.cn");

        log.info("test username encrypt is {}", usernameEnc);
        log.info("test password encrypt is {}", passwordEnc);

        log.info("test username is {}", stringEncryptor.decrypt(usernameEnc));
        log.info("test password is {}", stringEncryptor.decrypt(passwordEnc));
    }
}

這里我注入了一個 StringEncryptor，其類結構圖如下：

如果當前沒有自定義 StringEncryptor，JEncry Sptor Boot 的自動配置會默認創(chuàng)建一個 St 實例，直接用就行了，其構造器默認值如下：

然后運行測試用例來看下測試結果：

加解密成功!!

另外，通過 DEBUG 調試可以看到是一個 DefaultLazyEncryptor 實例：

當然也支持自定義的 Encryptor，有需要的可以自行定制。

如果不想用測試這種方法生成密文，也可以使用 Maven 插件，這就是前面為什么要加 Maven 插件(可選)的原因，使用方式如下：

mvn jasypt:encrypt-value 
-Djasypt.encryptor.password="G9w0BAQEFAASCBKYwggSiAgEAAoIBAQC" 
-Djasypt.plugin.value="javastack"

1.4 敏感信息解密

將上一步生成的密文填充到 application 配置文件中：

javastack:
  username: ENC@[K4DsOasic/5Cvu2Y6Ca5dyaw2+eejgqRfhDWB0itMWRONrIN+wLy3xkGbSfYxQ1b]
  password: ENC@[UeZWoPt3ZhSs2wPUAKTF21dgnhzimB+FNNiQjpJoPEhwYzI5WH3IWboZ5Wn+5Rgf]

注意 ENC@[] 這個占位符是上面進行自定義配置的。

然后再寫一個程序嘗試打印出來：

/**
 * 來源微信公眾號：Java技術棧
 * 作者：棧長
 */
@Slf4j
@SpringBootApplication
public class Application {

    @Value("${javastack.username}")
    private String username;

    @Value("${javastack.password}")
    private String password;

    /**
     * 來源微信公眾號：Java技術棧
     * 作者：棧長
     */
    public static void main(String[] args) {
        SpringApplication.run(Application.class);
    }

    /**
     * 來源微信公眾號：Java技術棧
     * 作者：棧長
     */
    @Bean
    public CommandLineRunner commandLineRunner() {
        return (args) -> {
            log.info("javastack.username = {}", username);
            log.info("javastack.password = {}", password);
        };
    }

}

棧長寫了一個 CommandLineRunner，在系統(tǒng)啟動之后將密文的原文打印出來，不需要做任何處理，直接注入、打印就行，看是不是明文。

系統(tǒng)啟動之后：

結果正常，自動解密成功。

本節(jié)教程所有實戰(zhàn)源碼已上傳到這個倉庫：

https://github.com/javastacks/spring-boot-best-practice

2.密鑰安全性

我們把 Jasypt 密鑰(password)存放在 application 配置文件中，這樣敏感信息還是在項目代碼中，也不是太安全，建議通過命令行參數(shù)的方式傳入，如在 IDEA 中這樣設置：

如果是生產環(huán)境，可以通過命令的方式傳入：

java -Djasypt.encryptor.password=password -jar xx.jar

甚至還可以配置在服務器環(huán)境變量中，因為 StringEncryptor 可以通過 系統(tǒng)參數(shù)、配置文件、命令行參數(shù)、環(huán)境變量 等等方式進行構造。

這樣 Spring Boot 中的配置信息就徹底安全了!

Jasypt Spring Boot 功能遠不止如此，實際功能要更強大，這里棧長只是介紹了簡單的運用，更多的自定義的需求大家可以參考官方文檔，那里有更詳細的教程。

3.Jasypt Spring Boot 原理

Jasypt Spring Boot 它注冊了一個 Spring 后處理器，它修飾包含在 Spring Environment 中的所有 PropertySource 對象，并按照 Jasypt 的配置約定對屬性進行加解密。

來跟一波源碼：

源碼有點復雜，一路找到了DefaultPropertyResolver 這個解密器，然后它也是注入了 StringEncryptor 這個實例，獲取配置時，會進行解密后再返回。

另外，這個 Resolver 也是支持自定義的，有興趣的可以深入研究下。

總結

好了，今天棧長介紹了 Spring Boot 保護敏感配置信息的 4 種方法，總結一下：

• 配置中心(支持自動加解密)
• 自定義加解密機制
• 數(shù)據(jù)庫機制
• Jasypt Spring Boot(第三方加解密方案)

總之敏感信息不要放在 Spring Boot 配置文件中，一定要放，就一定要加密，這 4 種方案各有各的應用場景，要結合公司現(xiàn)有的架構和系統(tǒng)規(guī)模作出權衡。

本節(jié)教程所有實戰(zhàn)源碼已上傳到這個倉庫：https://github.com/javastacks/spring-boot-best-practice。

本文轉載自微信公眾號「Java技術?！梗梢酝ㄟ^以下二維碼關注。轉載本文請聯(lián)系Java技術棧公眾號。